kerberos认证服务搭建

最新推荐文章于 2024-03-01 19:30:07 发布
最新推荐文章于 2024-03-01 19:30:07 发布
阅读量144 收藏
点赞数
文章标签: 大数据 数据库 运维
原文链接:http://www.cnblogs.com/qupeng/p/5143120.html
版权

    之前有段时间公司的kerberos认证老是出问题,因而我便不经深入调查,便先入为主地认为这就是MIT用来发paper的东西,毫无实用性,是为技术而技术的典范。为什么一定要它呢?我们搭的小hadoop集群没有它也能够运行正常。直到昨天,我需要把一个java程序部署到yarn上,在运行第一个极简单的示例时便报错了:```simple authentication is not enabled```。Google一下,发现yarn不支持simple的鉴权模式,必须上kerberos!这样的设计是基于如下一个场景:一台在信任列表外的机器,向yarn提交一个恶意的程序,便可以在整个集群上以linux-executor的执行用户做任何事情。这是应当避免的,而我也需要将5台机器上的hadoop的权限认证迁移到kerberos上。

    首先应该搭建一个kerberos认证服务器。这个参考文献比我看到的所有其他的都好:http://web.mit.edu/kerberos/krb5-1.14/doc/admin/install_kdc.html。以下逐步记录以下,以备将来查询。

export KRB5_CONFIG=/yourdir/krb5.conf
export KRB5_KDC_PROFILE=/yourdir/kdc.conf

 因为这5台机器需要同时访问公司的大kerberos,所以我们在一台机器上另建一个kerberos服务器,并配置以上环境变量,以便与另一套配置文件区分。

[libdefaults]
default_realm = MAOYAN.COM              // 默认的domain,这样在kinit中,便可以省略了
allow_weak_crypto = false              // 强加密如弱加密,不明白是什么意思,先禁掉
dns_lookup_realm = false               // 不走DNS,这几台机器的域名解析都已经相互配置到hosts里了
dns_lookup_kdc = false
ticket_lifetime = 24h                // ticket 过期时间
renew_lifetime = 7d                 // ticket 可延期的时间,默认是0
forwardable = true                  // ticket 是否可转发。注意,最严格的限制点在服务器端的配置
udp_preference_limit = 1              // 大小超过这一限制时,先整TCP;尚不清楚单位是字节还是什么

[realms]
MAOYAN.COM = {
    kdc = dx-movie-data-hadoop05:88        // kdc服务器,如果是master/slave模式,就重复地多写几行
    admin_server = dx-movie-data-hadoop05:749  // kdc主服务器,如果有多台,也多写几行
    default_domain = MAOYAN.COM           // 应该是kerberos 4和5之间兼容用的
}

[appdefaults]

以上是krb5.conf文件的内容。注释是另填上的,真正配置的时候请删除之。

kdc.conf配置如下:

[kdcdefaults]
kdc_ports = 88,750           // kerberos监听的udp端口;kdc_tcp_ports可以同理配置tcp端口。后者如果不设置,默认监听88

[realms]
MAOYAN.COM = {
    kadmind_port = 749        // kadmind这个daemon监听的端口
    acl_file = /opt/maoyan-kerberos/var/krb5kdc/kadm5.acl  // 访问控制列表文件
    database_name = /opt/maoyan-kerberos/var/krb5kdc/principal  // kerberos数据库文件路径
    dict_file = /usr/share/dict/words                // unix系统的字典文件路径,这里面的字符串是禁止作为密码的

    master_key_type = aes256-cts    // 这个是默认
    max_renewable_life = 7d 0h 0m 0s
    supported_enctypes = aes256-cts:normal aes128-cts:normal
}

[logging]
kdc = FILE:/opt/maoyan-kerberos/var/logs/krb5kdc.log
admin_server = FILE:/opt/maoyan-kerberos/var/logs/kadmind.log
default = FILE:/opt/maoyan-kerberos/var/logs/krb5libs.log

 

 配置完这两个文件之后,便可以生成kerberos的数据库了: kdb5_util create -r MAOYAN.COM 。执行时会要求设置密码,完成后会生成上面设置的```database_name```文件。

接下来,手动创建上面设置的acl_file文件。这个文件控制了持有哪些principal的会话可以修改principal本身的元数据,包括添加、修改、删除principal等。这个文件中的内容从略,上面给的链接中可以找到。

下面,执行 kadmin.local 命令。注意,如果你把database_name设置到了root用户才能修改的目录,那么这里将同样需要root权限。执行完这个命令之后,将进入kerberos的管理界面,你可以在上面执行对principal的DDL操作了。比如:

addprinc sankuai/admin@MAOYAN.COM;
xst -k /home/qupeng/maoyan.keytab sankuai/admin;

 

接下来,我们就可以使用sankuai/admin这个principal签入kerberos认证了;并且如果在acl文件中恰当地配置了admin访问元数据的权限,那么sankuai也将可以执行addprinc等操作了。

最后,执行:

krb5kdc && kadmind

 

这一bash命令,kerberos服务便搭建成功,可以使用了。

未完待续:kerberos的认证过程。William Stallings的书上有写,然而上学的时候没认真看,出来混终于还是要还的。

转载于:https://www.cnblogs.com/qupeng/p/5143120.html

weixin_30284355
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MIT kerberos认证集群搭建
lyd882的博客
06-12 559
MIT kerberos认证集群搭建 认证原理 可以看这个博客,很详细: https://blog.csdn.net/sky_jiangcheng/article/details/81070240 环境搭建 运行环境 ubuntu18.04 server kdc: hp01 client: hp02、hp03 安装软件 安装NTP时间同步服务 hp01安装kdc ,admin-server sudo apt-get install krb5-kdc krb5-admin-server
简洁易懂的kerberos的安全认证原理及搭建流程并集成到CDH中
weixin_43255026的博客
05-21 1403
一.Kerberos认证过程解析 Kerveros解决的是如何证明某个人就是他声称的那个人。 采用的方法:有一个仅存在A和B之间的秘密,如果有人对A声称自己就是B,那么A通过让B提供这个秘密来证明这个人就是B。 这样的验证过程中有几个问题需要解决: 1.秘密怎样表示 2.B如何向A提供这个秘密 3.A如何识别这个秘密 4.秘密是怎么生成,并且仅告知A和B 首先明白几个概念: Long-term k...
Kerberos认证流程
TT-Learning
08-06 1665
示例 ==> 小明要去电影院看一场电影: 1.前期需求,使用自己的账户密码登录票务中心,确定自己想看什么电影,位于哪个影院,什么时间观看; 2.购票机制,通过付费购票,来让小明从未授权的影院访问者变成被授权访问的状态; 3.验票机制,验证票据持有者的身份,和票务中心核对验证票据的合法性、电影名称、电影院位置、时间; 4.观看电影,一切验证通过后得到想要的内容; 5.再次观看,需要重新购票走流程; Kerberos认证流程: 1.发送请求,表明要访问什么服务,使用自己的密码来对请求进行加密,得到一个临
kerberos认证的步骤,学习笔记
weixin_34128411的博客
12-26 667
1.KDC,uname,upwd -x算法=>authticator 暗号 2.KDC ->uname,pwd->x1算法->解密authticator 确认客户端身份->生成登录会话秘钥login key 3.KDC发送两部分内容 1.KDC key加密的(userinfo用户信息,loging key)就是TGT,TGT的中文意思相当于认购权证 ,2.up...
Docker--------registry安全认证搭建 [ Https ]
weixin_34233618的博客
11-08 310
1. 背景 docker中要使用镜像,一般会从本地、docker Hup公共仓库和其它第三方公共仓库中下载镜像,一般出于安全和外网(墙)资源下载速率的原因考虑企业级上不会轻易使用。那么有没有一种办法可以存储自己的镜像又有安全认证的仓库呢? ----> 企业级环境中搭建自己的安全认证私有仓库。 由于Docker1.3.X版本之后doc...
kerberos 环境搭建
07-27
kerberos 环境搭建
flink写入带kerberos认证的kudu connector
03-24
大数据处理领域,...总结,配置Flink写入带Kerberos认证的Kudu Connector涉及多个步骤,包括Kerberos环境的搭建、Flink配置以及Kudu连接器的使用。理解这些步骤对于在生产环境中确保数据安全性和稳定性至关重要。
kerberos认证1
08-03
Kerberos认证协议详解 Kerberos是一种广泛使用的网络认证协议,主要目的是为客户端与服务器间的通信提供安全的认证服务。它基于密钥分发中心(KDC)系统,确保了用户身份的真实性,并且能够防止中间人攻击。...
Kerberos网络认证协议搭建与分析-A48郭茁宁-1183710109-实验报告1
08-08
二、实验环境实验所使用的设备名称及规格,网络管理工具简介、版本等 三、实验内容与实验要求实验内容、原理分析及具体实验要求 四、实验过程与分析根据具体实验,记录、
kerberos环境搭建
06-27
- 使用`kinit`获取服务票证,尝试访问已配置的服务,确保Kerberos认证正常工作。 - 如果遇到问题,可以查看KDC的日志文件,如/var/log/krb5kdc/kdc.log,找出错误原因。 8. **安全考虑**: - 定期更改密码和密钥...
大数据权限认证 Kerberos 部署
最新发布
u011047968的专栏
03-01 1424
Kerberos是一种网络身份验证协议,旨在支持使用密钥加密的客户端/服务器应用程序的强大身份验证。Kerberos 为网络资源提供最高级别的安全性。Kerberos 应用客户端/服务器体系结构并支持用户到服务器的身份验证,而不是主机到主机的身份验证。在此模型中,安全性和身份验证将取决于密钥技术,其中网络上的每个主机都有自己的密钥。
kerberos认证服务搭建认证、常用命令
天空之蓝的博客
01-16 5731
文章目录安装KDC 服务器修改配置修改KDC的配置文件配置KDC服务的权限管理文件修改Kerberos的配置文件信息初始化KDC数据库启动KDC服务器启动Kerberos服务器KDC 服务器上添加超级管理员账户搭建Kerberos客户端环境将服务端的配置文件拷贝到客户端客户端配置文件和服务段同步后,进行登陆,验证是否可以成功登陆Kerberos 一些基本操作命令使用kadmin.local命令进入...
kerberos认证搭建安装
tiki的博客
12-14 2867
kerberos认证搭建安装一、Kerberos简介1.Kerberos2.Kerberos认证流程2.1客户端认证2.2服务授权2.3服务请求3.kdc集群3.1安装包3.2术语二、安装搭建1.服务器安装1.1安装命令1.2修改配置1.2.1修改KDC的配置文件1.2.2配置KDC服务的权限管理文件1.2.3修改Kerberos的配置文件信息1.3初始化KDC数据库1.4启动1.5KDC 服务器上添加超级管理员账户2.搭建Kerberos客户端环境3.登录验证三、基本命令操作1.登录管理员模式2.基本操作
Docker部署hue,连接带kerberos认证的Impala集群
skyyws的博客
03-02 1714
本文主要介绍了在使用docker部署hue的时候,我们该如何配置来连接带kerberos认证的集群
solr添加kerberos认证及授权
jediael_lu的专栏
08-01 2641
solr添加kerberos认证及授权@(OTHERS)[solr]一、kerberos(一)添加用户在kdc中添加solr用户:root@kdc:/# kadmin.local kadmin.local: addprinc HTTP/192.168.0.107 kadmin.local: ktadd -k /tmp/107.keytab HTTP/192.168.0.107 kadmin.loca
python操作具有kerberos认证的hive(impala)
dlijuan的博客
07-25 1万+
▌前言       python中用于连接HiveServer2的客户端有3个:pyhs2,pyhive,impyla。官网的示例采用的是pyhs2,但pyhs2的官网已声明不再提供支持,建议使用impyla和pyhive。我选择的python2.7和impala,运行环境Linux、Windows。   ▌安装依赖(默认已安装好python2.7、pip)    pip install ...
Kerberos学习(二)
weixin_34261415的博客
04-13 187
在实际开始安装配置Kerberos以前,我打算先说一下keytab。keytab,key table。上一篇的Principal里面,我们了解到了,Principal是kerberos认证主体,相当于是你的账号。而keytab,可以粗浅的理解为SSH里面对应账号的私钥,而不同的是,SSH的私钥每个账号会有一个,而keytab是可以多个principal合并为一个的。原因是,keytab并不是作为...
kerberos简单认证操作
weixin_33768481的博客
04-27 1153
2019独角兽企业重金招聘Python工程师标准>>> ...
HDFS配置Kerberos认证
热门推荐
我喂自己袋盐
04-22 1万+
HDFS配置Kerberos认证
kerberos+Hadoop集群搭建详解:从环境准备到Hive应用
- 修改`/etc/krb5.conf`文件,配置Kerberos的网络参数和认证服务器信息。 - 配置Kerberos admin账户,如设置密码和权限。 - 初始化Kerberos数据库,创建Principal和Keytabs。 - 进入admin管理界面进行必要的设置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值